Um ataque ao servidor de distribuição de atualizações de software para notebooks Asus fez com que donos de computadores da marca baixassem um malware. O código malicioso era tão sofisticado que tinha a assinatura da companhia e endereços MAC das placas de rede dos dispositivos que procurava infectar.

A ofensiva foi descoberta pela empresa de segurança cibernética Kaspersky, e detalhes do ataque, que vem sendo chamado de ShadowHammer, foram publicados em uma matéria do site Motherboard. A Symantec, outra companhia de segurança, confirmou a existência do ataque. A Asus não se pronunciou sobre o assunto até o momento.

Os pesquisadores da Kaspersky dizem que viram cerca de 57 mil máquinas infectadas com a falsa atualização de software. Esse número diz respeito apenas a computadores com produtos da empresa, no entanto.

A estimativa geral é de que o número de dispositivos com o malware instalado chegue a um milhão. Apesar disso, o programa malicioso não tinha intenção de usar todas as máquinas infectadas, mas, sim, apenas algumas delas.

A escolha era bem específica: uma análise do código do malware mostra que havia uma lista de 600 endereços MAC (identificadores únicos, atribuídos pelo fabricante) de placa de rede que eram procurados.

Como nota a Wired, nem todos os endereços MAC do código eram de dispositivos Asus. Eles podem ser de uma lista mais ampla de alvos pretendidos pelos indivíduos mal-intencionados.

Quando o endereço MAC da placa de rede do computador não batia com um dos que constavam na lista do programa malicioso, ele permanecia em silêncio na máquina. Quando a combinação existia, porém, ele levava o usuário a baixar mais um programa de um servidor falso, que fazia parecer que era da Asus.

Este servidor permaneceu ativo entre maio e novembro de 2018, mas já foi tirado do ar. Como a Kaspersky descobriu a vulnerabilidade em janeiro de 2019, ela não teve acesso a esse segundo programa malicioso e não sabe o que exatamente ele faz nem para que ele poderia ser usado.

O ataque usou um setup.exe de 2015 da própria Asus. Os indivíduos mal-intencionados injetaram o código malicioso no arquivo e conseguiram assiná-lo novamente com a verificação digital da marca taiwanesa.

Vitaly Kamluk, diretor da região Ásia e Pacífico da equipe de análise e pesquisa global da Kaspersky, deu ao Motherboard mais detalhes sobre essa falsificação:

Kamluk diz que o uso de um antigo arquivo binário com um certificado atual sugere que os atacantes tinham acesso ao servidor onde a ASUS assina seus arquivos, mas não ao servidor onde ela compila os novos. Como os invasores usaram o mesmo binário da ASUS em todas as vezes, isso sugere que eles não tinham acesso a toda a infraestrutura da ASUS, apenas parte da infraestrutura de assinatura, observa Kamluk. As atualizações de software legítimas ainda continuaram sendo enviadas aos clientes durante o período em que o malware estava sendo distribuído, mas essas atualizações legítimas foram assinadas com um certificado diferente que usava proteção de validação avançada, o que, segundo Kamluk, dificultava a falsificação.

Os pesquisadores da Kaspersky acreditam que o grupo por trás desse ataque já realizou outras duas ofensivas semelhantes. Uma delas foi o ShadowPad, que segundo o Motherboard teve como alvo um software empresarial de administração de servidores feito por uma companhia coreana.

A outra foi um ataque às atualizações do software de limpeza CCleaner. Executivos da empresa de segurança trabalham com a hipótese de que esse ataque tenha sido usado para obter acesso a servidores da Asus. Do Motherboard:

“A Asus foi um dos principais alvos do ataque ao CCleaner”, disse Raiu (Costin Raiu, diretor da equipe de pesquisa e análise global da Kaspersky). “Uma das possibilidades que estamos levando em conta é que essa tenha sido a forma como eles inicialmente entraram na rede da Asus e depois, através da persistência, conseguiram alavancar o acesso para iniciar o ataque aos computadores.”

A Kaspersky diz que divulgará mais detalhes do ataque, incluindo um artigo e uma apresentação, em um evento de segurança da informação da empresa, a ser realizado no mês que vem em Singapura.

A companhia também liberou uma ferramenta para saber se seu dispositivo foi um dos alvos do ataque. Você deve informar o endereço MAC do seu computador (há instruções sobre como encontrar o seu) para descobrir.

Atualização [26/3 às 20h15]: A Asus liberou uma ferramenta para identificar se seu computador foi infectado pelo ataque.

[Kaspersky, Motherboard, Wired]